SIEM5.0 中显示不同类别日志
来源:互联网 发布:北京数据库培训机构 编辑:程序博客网 时间:2024/05/22 03:10
在OSSIM系统SIEM事件收集中,常会收到重复日志,例如,攻击者对网络上的某主机进行端口扫描,在每次探测中,系统会创建单独的事件,每扫描一次IDS很可能会创建单独的日志,而这些大量重复事件的源IP和源端口在每个事件中不同,而目标IP地址(被攻击的服务器)在每个事件中基本相同,这些重复的数据对安全人员意义不大,管理员需要看到具有不同特征的事件序列。更重要的是对某个事件重复了多少次,频率是多少,路径为Dashboaards-->Overview-->Security,如下图所示
OSSIM系统会根据日志的特征码进行自动分类,还可以统计源地址和目标地址的数量,值得注意的是,源IP地址不足以确保唯一性,很可能是伪造的,而目标地址通常在攻击期间保持不变,这有助于安全人员结合特征码来分析故障。如下图所示,截图列举了OSSIM系统中的SIEM消除重复事件的结果,默认按特征码分组。
在SIEM控制台中具有强大的筛选功能,可以按照不同事件,不同的地址(源地址,目的地址),不同的国家显示,如下图。注意在选择grouped时,系统会对alienvault_siem库中acid_event表进行select操作,当某类事件数量达到千万级别时,等待时间比较长。
我们可以举一个简单的例子:时间通过IP和目的端进行分组,显示如下,并右击IP地址,可以看到很多的选项,例如:来自这个主机的所有事件,流量信息等等。
点击来自这个主机的所有事件,显示如下:
我们选取131的IP,鼠标左键点击,显示结果如下:
这里显示了非常详细的信息,这些信息当中主要是针对检测公网地址才起作用。在这张图中,我们可以看到有一个External栏目,在这个栏目中,我们可以找到很多关于IP的背景资料,这些资料来自于不同的组织对这个IP检测的测评结果,对我们判断一个陌生IP的信誉度,有非常重要的帮助。
关于SIEM中显示不同类别日志小编就讲解到这里了。
参考书目:开源安全运维平台Ossim最佳实战,李晨光著。
- SIEM5.0 中显示不同类别日志
- asp.net中jqgrid根据不同类别头部显示不同的列的实现方法
- 根据类别显示不同的页面元素
- 统计文件中某字段不同类别的数量
- 同一个表中取出不同类别中的第一条数据
- 电影类别中HD和DVD版本的不同
- ListView中多类别条目的不同事件处理
- js总结6(菜单根据页面单位类别的不同而显示不同)
- ListView展示不同类别
- 获取不同类别apk
- Hibernate日志类别
- 文章放在隐藏类别中是否显示
- 分层显示类别层次
- 分层显示类别层次
- 显示规格类别
- CMFCRibbonBar 类别 显示 隐藏
- UITableViewCell 显示类别
- android之不同类别adapter
- BeanPostProcessor
- select2拖动元素
- PMM使用Grafana告警
- 初学二周
- 排序算法集合 -7
- SIEM5.0 中显示不同类别日志
- 读《计算机程序设计艺术》卷1:基本算法(第3版)
- linux--如何查看文件内容具体的某一行数据
- Android webView 调试
- Unity之SerializeField(序列化字段)
- BASIC-10十进制转十六进制
- 中企动力助天正生物争夺破伤风抗毒素全球话语权
- MongoDB 3.6 资料汇总
- XFermode图表